Дайджест Start X № 442

Особенности кампании

1. Атаки начинаются с фишинговых писем, содержащих документы-приманки, связанные с военной тематикой. Получателей писем побуждают открыть ZIP-архив, внутри которого находится скрытая папка со вторым архивом и Windows-ярлыком (LNK). Открытие ярлыка запускает многоэтапную цепочку заражения.
2. LNK-файл запускает PowerShell-команды, представляющие собой первую стадию дроппера. Эти команды используют дополнительный архив для развертывания полной дальнейшей цепочки заражения.
3. Одним из ключевых компонентов является PowerShell-стейджер, который проверяет, не работает ли он в песочнице и прописывает onion-адрес в файл hostname.
4. Вредонос использует ряд проверок окружения для уклонения от анализа. В частности, он проверяет, что в системе присутствует не менее 10 недавних LNK-файлов, а количество запущенных процессов превышает или равно 50. Если хотя бы одно условие не выполнено, PowerShell немедленно прекращает работу.
5. После прохождения проверок скрипт показывает жертве PDF-приманку из папки logicpro, одновременно с этим закрепляясь в системе через запланированную задачу githubdesktopMaintenance. Задача запускается автоматически после входа пользователя в систему и выполняется ежедневно в 10:21.
6. Эта задача представляет собой переименованный легитимный sshd. exe, благодаря чему злоумышленники могут установить SSH-сервис с ограниченным доступом, используя предустановленные криптографические ключи, хранящиеся в папке logicpro. Помимо SSH, малварь также имеет возможности для передачи файлов через SFTP.
7. Также малварь создают вторую запланированную задачу, которая выполняет logicpro/pinterest.exe — кастомизированный бинарник Tor, создающий скрытый сервис для коммуникации с. onion-адресом атакующих. Трафик обфусцируется с помощью obfs4, что затрудняет обнаружение активности.
8. Кроме того, малварь осуществляет переадресацию портов для Windows-сервисов RDP, SSH и SMB. Это дает злоумышленникам доступ к системным ресурсам через Tor с полным сохранением анонимности.

Нацеленность на оборонный и государственный сектора России и Беларуси, использование документов военной тематики в качестве приманок, а также продвинутые техники обфускации свидетельствуют, что за этой кибершпионской кампанией могут стоять правительственные хакеры.

Источник: SeqRite, 31 октября 2025 года

31 октября университет Пенсильвании обнаружил, что хакеры проникли в системы работы с выпускниками и разослали около 700 000 человек письмо о взломе. Злоумышленники получили доступ через учётную запись PennKey с помощью социальной инженерии, украли 1,71 ГБ файлов из SharePoint и Box. По их заявлениям, в руках у них оказались данные 1,2 млн доноров: контакты, суммы пожертвований и предпочтения благотворителей.

Университет подключил к расследованию ФБР и CrowdStrike, почистил системы Salesforce и SAP, запустил обучение сотрудников по противодействию социальной инженерии. Всех пострадавших обещают уведомить, как только оценят полный масштаб утечки.

Для выпускников и друзей университета это означает волну правдоподобных фишинговых звонков и писем — мошенники теперь знают, сколько вы жертвовали, и могут легко использовать эту информацию. Стоит заморозить кредитную историю, сменить пароли, включить двухфакторную аутентификацию и с удвоенным вниманием проверять любые просьбы о переводе денег.

Источник: BleepingComputer, 5 ноября 2025.

Hyundai AutoEver America 1 марта сообщила об инциденте: злоумышленники находились в IT-сетях компании с 22 февраля и успели скопировать данные с рабочих серверов до блокировки доступа. В утечке оказались имена, номера социального страхования (SSN) и водительские удостоверения — готовый набор для кредитного мошенничества и подделки документов.

Компания уведомила регуляторов Калифорнии и Массачусетса 3—4 ноября, запустила внешнее расследование и предложила пострадавшим двухлетнюю подписку на защиту личности через Epiq Privacy Solutions.

Источник: BleepingComputer, 5 ноября 2025.

Шведский поставщик муниципальных HR-систем Miljödata признал, что после августовской атаки персональные данные пользователей попали на тёмные форумы. Регулятор IMY начал проверку инцидента.

Хакеры выложили базу Datacarry с email-адресами, телефонами, домашними адресами и персональными номерами. Сервис Have I Been Pwned подтвердил как минимум 870 000 уникальных записей. Расследование проверяет, как были защищены особо чувствительные данные — информация о детях, защищённых личностях и бывших сотрудниках. Miljödata обслуживает около 80% муниципалитетов Швеции.

Для граждан это риск объединения семейных, медицинских и административных данных. Мошенники получают полный профиль человека и могут заходить в государственные порталы от его имени.

Источник: BleepingComputer, 4 ноября 2025.

В сентябре японский медиахолдинг Nikkei обнаружил, что заражённый компьютер сотрудника «слил» токены доступа к Slack. Злоумышленники прочитали чаты и получили контакты 17 368 сотрудников и партнёров компании.

Nikkei немедленно сбросила пароли и отключила подозрительные сессии. Компания заверила, что источники и редакционные материалы не пострадали, но деловая переписка с партнёрами могла уйти целиком. Это не первый инцидент Nikkei: в 2022 году пострадало сингапурское подразделение, а в 2019-м компания потеряла 29 млн долларов США из-за фишингового письма. Теперь обещают усилить контроль устройств и токенов.

Если вы общались с Nikkei в Slack, ждите точечного фишинга — злоумышленники знают структуру сделок, имена менеджеров и могут легко имитировать деловые просьбы «срочно утвердить счёт». Проверьте все рабочие чаты на лишние интеграции, включите уведомления о входах, удалите старые токены и убедитесь, что Slack не хранит конфиденциальные договоры без шифрования.

Источник: BleepingComputer, 4 ноября 2025.

4 ноября правоохранители Европы и США провели синхронные обыски и арестовали 18 участников мошеннических сетей. Они подписывали жертв на поддельные сервисы знакомств и стриминга, списывая до 50 евро в месяц.

Следствие считает, что мошенники создали 19 млн липовых подписок и украли минимум 300 млн евро, а попытки списаний могли достичь 750 млн евро. Изъяты люксовые автомобили, криптовалюта и техника. Схему обслуживали четыре немецких платёжных провайдера — их менеджеров подозревают в том, что за процент они закрывали глаза на подозрительные транзакции.

Опасность для держателей карт в том, что суммы небольшие, банки пропускают их автоматически, и люди месяцами не замечают списаний за несуществующие подписки. Проверяйте выписки еженедельно, подключите push-уведомления об операциях и не стесняйтесь отклонять платежи, которые не узнаёте.

Источник: BleepingComputer, 5 ноября 2025.

Министерство финансов США заморозило активы восьми граждан КНДР и двух компаний, которые через криптовалюту и подставные фирмы переводили деньги от хакерских атак в оружейные программы Северной Кореи.

Среди фигурантов — банкиры Чан Гук Чхоль и Хо Чжон Сон, управлявшие 5,3 млн долларов США в криптовалюте для First Credit Bank, а также компания Korea Mangyongdae, скрывающая «удалённых» IT-специалистов в Китае. По данным отчёта, за три года северокорейские хакерские группы украли более 3 млрд долларов США, а их IT-специалисты маскируются под фрилансеров и зарабатывают сотни миллионов на поддельных контрактах.

Для западных компаний это прямая угроза: наняв «идеального разработчика», можно получить шпионское ПО и попасть под вторичные санкции.

Источник: Министерство финансов США, 4 ноября 2025.

Министерство цифрового развития Филиппин объявило повышенную готовность: 5 ноября хактивисты могут провести DDoS-атаки на государственные порталы и банковские приложения.

Ведомство подчёркивает, что угрозы кражи данных нет — речь только о перегрузке серверов. На круглосуточном дежурстве находится национальная команда реагирования NCERT. DICT координирует план Oplan Cyberdome совместно с телеком-регулятором, полицией и провайдерами, чтобы быстро отсекать вредоносный трафик и информировать население.

Для пользователей это временное неудобство: привычные сервисы могут зависнуть, а мошенники попытаются подсунуть фальшивые «зеркала» приложений для кражи логинов.

Источник: PhilSTAR Life, 5 ноября 2025.

Gootloader вернулся — заражённые «шаблоны договоров» снова в деле

После семимесячного перерыва вредонос Gootloader снова активен. Злоумышленники используют рекламу в поисковиках, предлагая «бесплатные образцы договоров», и подсовывают ZIP-архив с исполняемым файлом .js.

Новая версия шифрует текст на сайте с помощью специального веб-шрифта: в коде видна каша символов, но на экране отображаются аккуратные названия документов, что затрудняет обнаружение. Исследователи из Huntress заметили, что после запуска вредоноса злоумышленники проводят разведку за 20 минут, а за 17 часов получают контроль над доменом для установки бэкдора Supper.

Любой, кто ищет юридический шаблон, рискует подхватить доступ для последующего развёртывания шифровальщика-вымогателя. Страдают как домашние пользователи, так и небольшие офисы. Скачивайте документы только с проверенных ресурсов, держите антивирус включённым, не запускайте архивы с расширением .js и помните: настоящий юрист попросит оплату, а не раздаёт всё бесплатно.

Источник: BleepingComputer, 5 ноября 2025.

Расследование компании Mandiant показало: сентябрьский взлом SonicWall был организован государственной хакерской группой, которая через API выкачала облачные резервные копии конфигураций фаерволов.

SonicWall утверждает, что исходный код и прошивки не затронуты, но конфигурационные файлы могли содержать логины, токены и VPN-пароли клиентов — фактически готовый доступ к корпоративным сетям. Предупреждение, обновлённое 9 октября, касается всех клиентов, хранивших бэкапы в облаке SonicWall. Им предложили инструменты для сброса паролей и поиска уязвимых устройств.

Для компаний с такими фаерволами это риск точечных атак: злоумышленнику достаточно восстановить конфигурацию, чтобы тихо попасть в корпоративную сеть. Не откладывайте смену паролей VPN, отключите старые учётные записи администраторов, включите уведомления о входах и проверьте политики доступа.

Источник: BleepingComputer, 5 ноября 2025.